2023 年 Kubernetes 安全状况报告:投资与采用不匹配


Red Hat 的 2023 年 Kubernetes 安全状况报告现已发布,着眼于组织在云原生开发方面面临的具体安全风险;包括其软件供应链面临的风险,以及如何降低这些风险以保护其应用程序和 IT 环境。该报告基于对全球 600 名 DevOps、工程和安全专业人士的调查,揭示了组织在云原生采用过程中面临的一些最常见的安全挑战及其对业务的影响。以及为应用程序开发和安全团队提供了可以降低其安全风险的最佳实践和指南。

一些值得注意的发现包括:

投资与采用不匹配

采用率继续增长,但安全投资却没有同步增长;安全仍然是容器采用的最大问题之一。38% 的受访者表示安全问题没有得到足够重视或安全投资不足,相较 2022 年增加了 7%。

红帽方面认为,云原生解决方案需要云原生安全解决方案,这些解决方案可以(并且应该)通常包括 DevSecOps 方法。IT 团队需要专注于选择和实施在 CI/CD 应用程序管道和基础设施管道中提供反馈和护栏的安全工具。建议组织投资具有内置安全性的云原生工具以弥补投资和采用之间的差距,而不是将其作为附加组件。

安全问题阻碍业务成果

出于安全考虑,67% 的受访者不得不延迟或放慢对云原生的采用。 超过一半的受访者在过去 12 个月中经历过与云原生和容器化开发相关的软件供应链问题。

更糟糕的是,云原生安全事件可能会产生yixie 严重的业务影响。有 21% 的受访者表示安全事件导致员工解雇,25% 的受访者表示组织被罚款。除了明显的员工影响外,还可能导致整个 IT 组织流失宝贵的人才、知识和经验。37% 的受访者认为收入/客户损失是由容器和 Kubernetes 安全事件造成的。

而通过在云原生战略的早期优先考虑安全性,组织可以保护业务资产、满足监管要求、推动业务连续性、维护客户信任并降低修复安全问题的成本。

对软件供应链安全的担忧

围绕软件供应链安全的关注空前高涨。Sonatype 报告称,在过去 3 年中,软件供应链攻击的年均增长率达到了惊人的 742%。调查受访者最关心的三个问题分别是,易受攻击的应用程序组件 (32%)、访问控制不足 (30%) 以及缺少软件物料清单 (SBOM)或出处 (29%)。

坏消息是,超过半数的受访者几乎经历过调查中发现的所有问题。其中易受攻击的应用程序组件和 CI/CD 管道弱点是被提及最多的两个问题。然而,许多组织正在通过采用全面的 DevSecOps 方法,来实现更好地保护其软件供应链。将近一半的受访者已拥有先进的 DevSecOps 计划。另有 39% 的人了解 DevSecOps 的价值,并且处于采用的早期阶段。

此外,通过在软件开发生命周期的早期关注软件组件和依赖项的安全性,并使用 DevSecOps 实践在每个阶段自动集成安全性,组织能够从不一致的手动流程转变为一致、可重复的自动化操作。

更多详情可下载完整报告。


相關推薦

2023-07-04

考虑因素,相较前两年的 41% 有所上升。虽然存在性能和安全性等其他因素的排名高于定价,但报告认为这一发现可能反映了在科技经济收缩后,API 消费者更加注重成本。 高管们尤其可能注重定价,60% 的高管将其视为与 API 集

2023-07-26

据泄露的深入分析。提供了一些威胁见解,以及升级网络安全和最大程度减少损失的实用建议。 企业在计划如何处理日益增加的成本和频率的数据泄露方面存在分歧。研究发现,虽然 95% 的研究组织经历过不止一次的数据泄露

2023-02-08

旨在支持云原生环境的开源工具也在同步增加。 例如,Kubernetes 的使用率达到 23%,一年内增长了 5%,成为使用第三多的云原生技术。在过去的 12 个月里,几乎所有的云原生技术都在增长。可观察性领域的项目,如 OpenTelemetry、J

2023-11-17

编程,这也是它们增长的原因。而 Go 最近的增长则是由 Kubernetes 和 Prometheus 等云原生项目的推动。” 其他一些发现还包括: 与 2022 年相比,2023 年开源代码开发人员合并的针对易受攻击软件包的自动 Dependabot 拉取请求增

2022-07-02

品,单一采购来源绝不成立。 更重要的是,国家信息安全被国企央企高度重视,而作为三大核心运营商之一的中国联通,使用GitLab产品管理最核心的信息资产源代码,无论从安全角度,还是自主可控角度,都有很大问题。这

2023-07-24

业而言,围绕 Web3 的关键技术挑战仍然存在,包括扩展和安全性、身份和密钥管理以及隐私。  零信任边缘(ZTE) 该解决方案使用零信任访问原则在远程站点内外安全地连接和传输数字信息,主要使用基于云的安全和网

2022-04-27

务连接、安全保障、管理与监控方式。Knative 是一个基于 Kubernetes 与 Istio 的 Serverless 架构方案,Istio 是 Knative 所依赖的 Service Mesh。 按照规划,Istio 本来就要捐赠给 CNCF;但在 2019 年 KubeCon 期间,谷歌却打破与 IBM 定下的协议

2023-10-07

(AI) 对软件开发的深远影响;还研究了开源供应、需求和安全之间错综复杂的相互作用。 报告跟踪了 Java (Maven)、JavaScript (npm)、Python (PyPI)、.NET (NuGet Gallery) 四大开源生态系统的开源应用增长情况。2022 年至 2023 年间,可用开源

2024-10-17

提供资金将使项目开发人员能够专注于代码并消除财务不安全的压力。” 在企业赞助方面,目前已经有了些积极的成果。例如,GitHub 赞助商已经向开源维护者投入了 4000 万美元 —— GitHub 的 Crosby 表示,包括 AWS、美国运通、Sho

2023-10-18

究进展 (Research)、行业局势 (Industry)、政策影响 (Politics)、安全问题 (Safety)、未来预测 (Predictions) 五个维度出发,对人工智能发展现状和未来预期进行了深度分析。 完整报告查看:https://docs.google.com/ 报告称,OpenAI 的 GPT-4

2023-07-19

。 27% 的受访者认为,开源所面临的最大挑战是维护和安全成本;其次是对维护流程的担忧(24%)、安全问题(21%)以及参与开源社区的成本(18%)。 随着越来越多的组织增加对开源的使用并大规模管理贡献,公司开源项目

2024-09-20

%。 虽然在 xz 后门出现之后,组织更加重视软件供应链安全,但维护人员获得报酬的情况仍没有改善。目前,维护者的收入仍主要来自捐赠(25%)、明确包含开源维护内容的公司薪酬(24%)或 Tidelift(19%)。来自公司(5%)、

2024-04-29

思路,可以在实现创新的同时防止碎片化。 增强网络安全:公开进行的对标准的审查可以提高网络安全的稳健性和弹性。 经济和技术价值:RISC-V 的开放性促进了竞争,鼓励对新技术的投资。通过允许设计上的自由,RISC-V

2023-11-30

:从 k8s 1.12 升级到 1.20。 K8s 1.12 发布于 2018 年:Kubernetes 1.12 正式发布,新增 VMSS 支持 K8s 1.20 发布于 2020 年:Kubernetes 1.20 发布:妙啊 来源:滴滴弹性云基于 K8S 的调度实践